No dia 28/01/2022 foi publicada a Resolução CD/ANPD nº 2, redigida pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, nos termos do art. 55-J, da Lei nº 13.709/18 (LGPD).
O objetivo da Resolução é regulamentar a aplicação da LGPD para os agentes de tratamento de pequeno porte, entendidos como microempresas, empresas de pequeno porte, startups, além de pessoas naturais e entes privados despersonalizados sujeitos à Lei.
Considerando as atividades, no geral, menos complexas desses agentes de tratamento de pequeno porte, além da dificuldade e onerosidade de adequação à LGPD, a ANPD entendeu ser necessário flexibilizar as regras e, em algumas situações, dispensá-las, com a finalidade de garantir maior possibilidade de adesão e cumprimento da norma. De todo modo, a Resolução destaca que não há qualquer isenção ao cumprimento das bases legais e dos princípios impostos pela LGPD.
Quais são as flexibilizações e isenções trazidas pela Resolução, aos agentes de tratamento de pequeno porte?
Seguem abaixo os apontamentos observados pelos especialistas do Spadoni, Carvalho & Costa:
I. Elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada (a ANPD fornecerá um modelo);
II. Procedimento simplificado de comunicação de incidente de segurança (a ser regulamentado);
III. Estabelecimento de política simplificada de segurança da informação, com os requisitos essenciais e necessários para o tratamento de dados pessoais;
IV. Dispensa de indicação do Encarregado pelo Tratamento de Dados (conhecido como DPO);
V. Prazo em dobro para: atendimento das solicitações dos titulares, comunicação à ANPD e ao titular sobre ocorrência de incidente de segurança (exceto quando houver possibilidade de comprometimento à integridade física e moral dos titulares ou à segurança nacional), fornecimento de declaração clara e completa sobre os dados solicitados pelo titular, e apresentação de informações, documentos, relatórios e registros solicitados pela ANPD.
Muito embora os agentes de tratamento de pequeno porque não estejam obrigados a indicar o Encarregado pelo Tratamento de Dados (DPO), a Resolução estabeleceu a necessidade de disponibilização de um canal de comunicação com o titular de dados, indicando, ainda, que a nomeação de alguém para essa função será considerada como política de boas práticas e governança.
Dessa forma, acredita-se que o cumprimento dessa regra da LGPD mostra-se benéfica às empresas, mesmo àquelas que estejam dispensadas – sobretudo porque ainda é existente a obrigação de viabilizar a aplicação da LGPD, além de atendimento aos direitos dos titulares.
Destaca-se, contudo, que, mesmo tratando-se de agente de tratamento de pequeno porte, essa Resolução não se aplica caso sejam realizados tratamentos de alto risco para os titulares.
O que seria o tratamento de alto risco?
Para a ANPD, o risco é visualizado a partir do tratamento de dados:
I. Em larga escala, ou seja, quando abranger número significativo de titulares, considerando o volume, duração, frequência e extensão geográfica;
II. Que possa afetar significativamente interesses e direitos fundamentais dos titulares, ou seja, quando o tratamento puder impedir o exercício de direitos ou utilização de serviços, ou, ainda, causar danos materiais e morais;
III. Feito com uso de tecnologias emergentes ou inovadoras;
IV. Feito com objetivo de vigilância ou controle de zonas acessíveis ao público;
V. Cujas decisões sejam tomadas unicamente com base em tratamento automatizado de dados pessoais (ex.: definição de perfil);
VI. Que utilizem dados pessoais sensíveis ou dados de crianças, adolescentes e idosos.
A Resolução determina que, quando solicitado pela ANPD, o agente de tratamento de pequeno porte terá 15 dias para comprovar que se enquadra nessa condição, podendo, assim, usufruir do tratamento jurídico diferenciado.
Interessante mencionar que a Resolução sugere a possibilidade de os agentes de tratamento de pequeno porte organizarem-se por meio de entidades de representação da atividade empresarial, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
São essas as principais considerações acerca da aplicação da LGPD para os agentes de tratamento de pequeno porte.